Doppelt gesichert hält besser: Datensicherung im Franchise

Datenschutz spielt in Unternehmen eine wichtige Rolle. Mit der neuen Datenschutz-Grundverordnung (DSGVO) werden auch an Franchise-Unternehmen zusätzliche Anforderungen gestellt, die sowohl Franchisegeber als auch -nehmer betreffen. Seit Mai 2018 muss die allgemeine Verordnung zum Umgang mit personenbezogenen, also sensiblen Daten natürlich auch im Franchisebereich umgesetzt werden. 

Datensicherheit und Datenschutz in der medialen Welt sind von hoher Bedeutung. Bei der Datensicherheit geht es zunächst um den Schutz aller Daten, ganz egal, ob diese personenbezogen sind oder nicht. Franchiser sollten sich die Frage stellen, welche Maßnahmen für eine optimale Datensicherheit umgesetzt werden müssen. Ziel muss sein, dass sämtliche Daten gegen Verlust, Diebstahl, Manipulation und andere Gefahren geschützt sind. Datensicherheit lässt sich jedoch nur mit Methoden für Datenschutz erreichen. Zu diesem Zweck gehören zur Unternehmensorganisation auch organisatorische und technische Maßnahmen. In Geschäftsbetrieb werden regelmäßig Informationen und Daten von Personen erhoben – wie etwa von Mitarbeitern, Partnern und Kunden. Die Maßnahmen, die im Zusammenhang mit Datenschutz und Datensicherheit getroffen wurden, sollten hinterfragt werden. Das gilt besonders für Systeme im Online-Handel, in der Unternehmensberatung, IT oder bei Vermittlungs- und Agenturtätigkeiten. 

Denn Gefahren und Risiken lauern im digitalen Arbeitsalltag überall: Werden Daten auf USB-Sticks verwahrt, kann dieser verloren gehen und auch Unbefugten zu Einblicken in Interna und sensible Daten ermöglichen. Bei Endgeräten fehlt es oft an einer Verschlüsselung, oder es werden Daten, die nicht für jedermann bestimmt sind, lokal abgespeichert. Andere Risiken ergeben sich durch Viren oder durch die Verwendung einer Cloud, in der sensible Daten gespeichert werden. 

Bußgelder bis zu 20 Millionen Euro

Sensible Daten: Wer hier gegen geltendes Recht verstößt und die Datenschutzbestimmungen nicht einhält, kann generell mit einem Bußgeld in Höhe von bis zu 20 Millionen Euro bestraft werden oder muss bis zu vier Prozent des weltweiten Jahresumsatzes zahlen. Auch wenn die Geber und Nehmer keine wirtschaftliche Einheit bilden und bei Verstößen gegen den Datenschutz deshalb jede Partei einzeln verantwortlich gemacht wird, wirken sich entsprechende Vergehen auf das gesamte Unternehmen aus. In diesem Zusammenhang ist die Datensicherung in einem Franchise-Unternehmen von hoher Bedeutung. 

Franchisegeber benötigt Daten zur Systemoptimierung

Franchise ist nicht zuletzt deshalb eine sensible Sache in punkto Datenschutz und -sicherung, weil es zwischen den Nehmern und Gebern zu regelmäßigen Datentransfers kommt. Der Franchisegeber benötigt diese unter anderem deshalb, um sich ein Bild davon zu machen, ob der Franchisenehmer die vereinbarten Bestimmungen, die zwischen den beiden Parteien getroffen wurden, ideal umsetzt. Hinzu kommt, dass der Franchisegeber die gewonnenen Daten zur Optimierung des Systems einsetzen kann und er deshalb auf entsprechende Daten angewiesen ist. 

Datenschutzgrundverordnung greift bei personenbezogenen Daten

Die Datenschutz-Grundverordnung greift dann, wenn personenbezogene, direkte und indirekte Daten wie Namen, Bankverbindung oder andere Informationen über eine natürliche Person erhoben und verarbeitet werden. Das ist insbesondere dann brisant, wenn Kunden- und Verbraucherdaten weitergegeben werden. Eine Weitergabe ist nur dann erlaubt, wenn die betreffende Person einem Datentransfer zustimmt oder der rechtliche Rahmen es zulässt. Bei anonymisierten Daten jedoch greift die DSGVO nicht, wenn keine Rückschlüsse auf die betreffende Person gezogen werden können. Die Einwilligung der betroffenen Person ist allerdings an verschiedene Bedingungen geknüpft, um rechtsgültig zu sein: Sie muss freiwillig und eindeutig sein; außerdem muss die Person über die Verwendung von Daten genau informiert worden sein. Eine freiwillige Einwilligung beinhaltet auch immer einen Widerruf zu jedem beliebigen Zeitpunkt. Aufgrund der Rechenschaftspflicht müssen Franchisegeber und -nehmer die Einwilligung auch protokollieren. 

Sensible Daten vor den Augen Dritter schützen

Werden zwischen Franchise-Unternehmen oder zwischen Geber und Nehmer sensible Daten ausgetauscht, ist es ratsam, diese auch vor Augen Dritter zu schützen. Eine Verschlüsselung ist also sinnvoll, um unbefugte Zugriffe auf Daten zu vermeiden. Dabei handelt es sich um eine Methode, Daten sicher aufzubewahren oder zu senden. Das Prinzip beruht darauf, offene Daten in verschlüsselte Dateien umzuwandeln. Dazu wird ein geheimer „Schlüssel“ benötigt, der auch für die Entschlüsselung benötigt wird. Für dieses Vorgehen gibt es verschiedene Möglichkeiten. Unterschieden werden zunächst: 

• Symmetrische Verschlüsselung 
• Asymmetrische Verschlüsselung 
• Hybride Verschlüsselung 

Bei der symmetrischen Verschlüsselung wird sowohl für die Verschlüsselung als auch für die Entschlüsselung vom Sender beziehungsweise Empfänger ein und derselbe Schlüssel verwendet wird. Eine Methode, die sich in erster Linie für Einzelbenutzer und geschlossene Systeme eignet. Vorteil: Symmetrische Verschlüsselungen sind meist schneller als asymmetrische, die Schlüssel sind vergleichsweise kurz. Nachteil ist jedoch, dass der Schlüssel an den Empfänger weitergegeben werden muss. Dafür wird ein sicherer Kanal benötigt, den es jedoch ohne Verschlüsselung nicht geben kann. Demnach können Unbefugte den Code theoretisch einsehen. Außerdem ist für jedes Paar, das sensible und geheime Daten austauscht, ein eigener Code nötig. 

Öffentlicher und privater Schlüssel

Die asymmetrische Verschlüsselung hingegen arbeitet mit einem öffentlichen und einem privaten Schlüssel, die miteinander verknüpft sind aus und je aus einer langen Zahlenreihe bestehen. Während zum öffentlichen Code jeder Zugang hat, bleibt der private geheim. Die Daten werden mit dem öffentlichen Code verschlüsselt und können nur vom Empfänger mit dem privaten Code lesbar gemacht werden (Private Key, Public Key). Die Entschlüsselung erfolgt bei dieser Methode schneller als bei einem symmetrischen Schlüssel. 

Es gibt jedoch auch Nachteile, die beim asymmetrischen Verfahren anfallen. Die asymmetrische Verschlüsselung basierte auf einem hohen und komplizierten Rechenverfahren. Dies bedeutet einen hohen Rechenaufwand und damit mehr Arbeitszeit für das Computersystem. Die hybride Verschlüsselung schließlich ist eine Kombination aus beiden Methoden: Der Datensatz wird bei diesem Verfahren mit einem hochfunktionalen symmetrischen Verschlüsselungsverfahren kodiert. Der dazu notwendige Code wird mit der asymmetrischen Methode verschlüsselt und an den Empfänger versendet. Andere Verfahren sind die Public Key Infrastructure und die damit verbundenen Signaturen. Bewährt hat sich beim Austausch von sensiblen Daten (zum Beispiel über eine (un-)verschlüsselte Mail) eine Verschlüsselung auf Dateiebene. Gerade bei PDF-Dokumenten ist es vergleichsweise leicht, eine Verschlüsselung einzurichten. 

Weitergabe muss zugestimmt werden 

Werden personenbezogene Daten zwischen zwei Franchise-Unternehmen oder zwischen Geber und Nehmer ausgetauscht, greift der sogenannte Grundsatz des Verbots mit Erlaubnisvorbehalt. Die betroffenen Personen müssen also der Weitergabe ihrer Daten nach Artikel 7 der DSGVO zustimmen, wenn keine rechtliche Basis für den Datentransfer vorliegt. Das bedeutet, dass die betroffenen Personen darüber informiert werden müssen, dass das Franchise-System stets mit verschiedenen Akteuren in Verbindung steht, und die Daten deshalb nicht ausschließlich dem Franchisenehmer zugänglich sind. Besteht eine Rechtsgrundlage zur Verwendung sensibler Daten sollten Geber und Nehmer immer auf eine geeignete Grundlage bei einer Datenvermittlung achten. Laut Artikel 6 der DSGVO dürfen Daten in festgelegten Fällen zweckgebunden erhoben und verarbeitet werden.

Datenschutzbeauftragten bestimmen

Wenn ein Franchise-Unternehmen mehr als neun Mitarbeiter beschäftigt und regelmäßig sensible Daten verarbeitet, ist es dazu verpflichtet, einen Datenschutzbeauftragten zu stellen. Die Aufgabe wird oft von fachkundigen Mitarbeitern übernommen. Häufig werden auch externe Dienstleister eingesetzt. Sie überprüfen nicht nur den Datenschutz und die Datensicherheit im Franchise-Betrieb, sondern sensibilisieren die Mitarbeiter zum Thema und klären auf, zum Beispiel über Mindeststandards des Datenschutzes: Dazu gehört neben den Möglichkeiten des Datenklaus auch das Kommunikationsverhalten. Dazu gehört zum Beispiel, sensible Daten nicht ungeschützt über Emails zu verbreiten.

Photo by Markus Spiske on Unsplash